防火墙与VPN-3VPN概述.ppt

* * Page */44 安全联盟SA 使用安全联盟（SA）是为了解决以下问题 如何保护通信数据 保护什么通信数据 由谁实行保护 建立SA是其他IPsec服务的前提 SA定义了通信双方保护一定数据流量的策略 Page */44 SA的内容 一个SA通常包含以下的安全参数 认证/加密算法，密钥长度及其他的参数 认证和加密所需要的密钥 哪些数据要使用到该SA IPsec的封装协议和模式 如何保护 保护什么 由谁实行 Page */44 IKE因特网密钥交换协议 在IPsec网络中用于密钥管理 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥 Page */44 IPsec VPN的配置 步骤1 —配置IKE的协商 步骤2 —配置IPSEC的协商 步骤3 —配置端口的应用 步骤4 —调试并排错 Page */44 配置IKE协商3-1 启动IKE Router(config)# crypto isakmp enable 建立IKE协商策略 Router(config)# crypto isakmp policy priority 取值范围1~10000 数值越小，优先级越高 Page */44 配置IKE协商3-2 配置IKE协商策略 Router(config-isakmp)# authentication pre-share Router(config-isakmp)# encryption ｛ des | 3des ｝ Router(config-isakmp)# hash ｛ md5 | sha1 ｝ Router(config-isakmp)# lifetime seconds 使用预定义密钥 加密算法 SA的活动时间 认证算法 Page */44 配置IKE协商3-3 设置共享密钥和对端地址 Router(config)# crypto isakmp key keystring address peer-address 密钥 对端IP Page */44 配置IPsec协商2-1 设置传输模式集 Router(config)# crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] 定义了使用AH还是ESP协议，以及相应协议所用的算法 Page */44 配置IPsec协商2-2 配置保护访问控制列表 Router(config)# access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard 用来定义哪些报文需要经过IPSec加密后发送，哪些报文直接发送 Page */44 配置端口的应用2-1 创建Crypto Maps Router(config)# crypto map map-name seq-num ipsec-isakmp 配置Crypto Maps Router(config-crypto-map)# match address access-list-number Router(config-crypto-map)# set peer ip_address Router(config-crypto-map)# set transform-set name ACL编号 对端IP地址 传输模式的名称 Map优先级，取值范围1~65535，值越小，优先级越高 Page */44 配置端口的应用2-2 应用Crypto Maps到端口 Router(config)# interface interface_name interface_num Router(config-if)# crypto map map-name Page */44 检查IPsec配置 查看IKE策略 Router# show crypto isakmp policy 查看IPsce策略 Router# show crypto ipsec transform-set 查看SA信息 Router# show crypto ipsec sa 查看加密映射 Router# show crypto map Page */44 RouterA(config)# ip route 0.0.0.0 0.0.0.0 20.20.20.20 RouterA(config)#crypto isakmp policy 1 RouterA(config-isakmap)#hash md5 RouterA(config-is